Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Microsoft Office LTSC 2021 pour éditions 32 bits
- Microsoft Office LTSC 2021 pour éditions 64 bits
- Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
- Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
- Microsoft Word 2016 (édition 32 bits)
- Microsoft Word 2016 (édition 64 bits)
- Windows 10 pour systèmes 32 bits
- Windows 10 pour systèmes x64
- Windows 10 Version 1607 pour systèmes 32 bits
- Windows 10 Version 1607 pour systèmes x64
- Windows 10 Version 1809 pour systèmes 32 bits
- Windows 10 Version 1809 pour systèmes ARM64
- Windows 10 Version 1809 pour systèmes x64
- Windows 10 Version 21H2 pour systèmes 32 bits
- Windows 10 Version 21H2 pour systèmes ARM64
- Windows 10 Version 21H2 pour systèmes x64
- Windows 10 Version 22H2 pour systèmes 32 bits
- Windows 10 Version 22H2 pour systèmes ARM64
- Windows 10 Version 22H2 pour systèmes x64
- Windows 11 version 21H2 pour systèmes ARM64
- Windows 11 version 21H2 pour systèmes x64
- Windows 11 Version 22H2 pour systèmes ARM64
- Windows 11 Version 22H2 pour systèmes x64
- Windows Server 2008 pour systèmes 32 bits Service Pack 2
- Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
- Windows Server 2008 pour systèmes x64 Service Pack 2
- Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server 2022
- Windows Server 2022 (Server Core installation)
Résumé
Description de la vulnérabilité
Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l'existence d'une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.
L'éditeur confirme qu'elle est activement exploitée de façon ciblée [2].
La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office spécialement conçu, préalablement transmis à l'aide de technique d'ingénierie sociale.
Le CERT-FR recommande fortement de mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif.
Cette alerte sera mise à jour de façon régulière au gré des nouveaux éléments qui nous seront communiqués.
Campagne d'exploitation
La CVE-2023-36884 aurait été exploitée, d’après Microsoft [4], par le mode opératoire Storm-0978 lors d’une campagne en juin 2023 contre des entités gouvernementales et du secteur de la défense européennes et nord-américaines à des fins d’espionnage. Le code malveillant utilisé par les attaquants suite à l’exploitation de cette vulnérabilité, présenterait des similarités avec la porte dérobée RomCom.
RomCom est un code malveillant découvert en août 2022 par PaloAlto [5], qui aurait été utilisé depuis octobre 2022 dans des campagnes d’espionnage contre des entités gouvernementales et militaires ukrainiennes ([6], [7]), et des entités des secteurs du gouvernement, de la défense, de la santé, des services numériques et de la logistique dans certains pays d’Europe et d’Amérique du Nord ([7], [8], [9], [10], [11], [4]).
Le code malveillant RomCom a été associé au groupe cybercriminel Cuba par plusieurs éditeurs de sécurité [5], [12]. Cuba est notamment connu pour avoir revendiqué l’attaque par rançongiciel contre le gouvernement du Monténégro en août 2022 [13].
Contournement provisoire
L'éditeur fournit un ensemble de mesures d’atténuation visant à limiter son exploitation. [1] [3]
Solution
Les mises à jour publiées par l'éditeur en août 2023 corrigent cette vulnérabilité [1].
Documentation
- [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
- [2] https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
- [3] https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
- [4] https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
- [5] https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
- [6] https://cert.gov.ua/article/2394117
- [7] https://blog.google/threat-analysis-group/ukraine-remains-russias-biggest-cyber-focus-in-2023/
- [8] https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html
- [9] https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine
- [10] https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit
- [11] https://cert.gov.ua/article/5077168
- [12] https://blog.google/threat-analysis-group/ukraine-remains-russias-biggest-cyber-focus-in-2023/
- [13] https://www.bankinfosecurity.com/cuba-ransomware-gang-takes-credit-for-attacking-montenegro-a-19938
- Référence CVE CVE-2023-36884 https://www.cve.org/CVERecord?id=CVE-2023-36884
